当前位置:皇牌天下 > 科技中心 > 网络中心:关于“冲击波”(WORM

网络中心:关于“冲击波”(WORM

文章作者:科技中心 上传时间:2019-05-10

一个名为“冲击波”的病毒周二在全球袭击Windows操作系统,我校多个单位的上网电脑也出现受蠕虫攻击现象,现将此病毒情况介绍如下,望各上网单位加以防范: 病毒名称:冲击波(Wrom.MSBlaster.6176) 病毒类型:蠕虫 病毒长度:6176 危害级别:3 传播速度:4.5 受攻击操作系统:winnt、win2k、winxp、windows server 2003 被攻击后的表现:系统资源占用较大,有时弹出RPC服务终止的对话框(有时提示系统一分钟后关机,并倒计时),系统反复重启(winxp用户居多)。 也有用户报告不能在IE中打开新窗口,不能复制粘贴,部分电脑的校园网首页显示不完整等奇怪现象。 一、预防方法:(针对未中此病毒的用户,其中任一方法均可,具体使用哪种方法,请自己决定。推荐第一种) 1、下载windows RPC漏洞补丁(也可以直接到校园网-软件下载-系统和补丁-流言病毒补丁中下载) Windows 2000 Windows XP Windows XP 安装过程中,如果出现无法继续或程序长时间不往下进行的现象,请重新启动电脑,然后再安装补丁 2、关闭病毒攻击的TCP/IP端口 a)使用Windows自带的TCP/IP筛选功能(详细情况见 http://www.duba.net/c/2003/08/12/88900.shtml) b)使用防火墙软件关闭135、139、445、4444端口 3、升级杀毒软件 二、杀除方法:(针对已经中了此病毒的用户) 1. 检查、并删除文件: system32msblast.exe 2. 打开任务管理器,停止以下进程 msblast.exe . 3. 进入注册表(“开始->运行:regedit) 找到键值: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 在右边的栏目, 删除下面键值: "windows auto update"="msblast.exe" 4. 给系统打补丁(否则很快被再次感染) Windows 2000 Windows XP Windows XP

蠕虫名称   W32.Blaster.Worm (symantec)   W32/Lovsan.worm (McAfee)   WORM_MSBLAST.A (Trend Micro)   Win32.Posa.Worm (CA)   Lovsan (F-secure)   CVE参考:CAN-2003-0352   BUGTRAQ ID:8205   影响系统   Microsoft Windows NT 4.0 (包括所有SP补丁版本)   Microsoft Windows 2000 (包括所有SP补丁版本)   Microsoft Windows XP (包括所有SP补丁版本)   Microsoft Windows Server 2003   特征描述   W32.Blaster是一种利用DCOM RPC漏洞(请参考http://www.microsoft.com/technet/security/ bulletin/ MS03-026.asp)进行传播的蠕虫,传播能力很强。蠕虫传播时破坏了系统的核心进程svchost.exe,从而导致系统不稳定,并可能造成系统崩溃。它扫描的端口号是TCP/135,攻击成功后它会利用TCP/4444和UDP/69端口下载并运行它的代码程序Msblast.exe。   蠕虫感染特征:   1、 蠕虫攻击可能导致RPC 服务停止,因此可能引起其他服务(如IIS)不能正常工作;   2、 攻击不成功时,可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,无法进入网站页面链接等等;   3、 成功溢出时,系统表现为如下特征:   * 系统被重启动;   * 用netstat 可以看到大量TCP/135端口的扫描;   * 系统中出现文件: %Windir%system32msblast.exe;   * 注册表中出现键值:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "windows auto update"="msblast.exe";   控制方法   如果您不需要使用下面的端口,可以在防火墙或路由器上暂时阻塞下面的端口:    * TCP 4444 蠕虫开设的后门端口,用于远程命令控制   * UDP Port 69 用于文件下载   * TCP Port 135 蠕虫用以下端口发现有漏洞的系统   * TCP Port 137   * TCP Port 139   如果您使用cisco 路由器,可以用如下访问控制列表来防止蠕虫的扫描和传播(仅作参考):   ! 以前的控制规则   ! …..   access-list 110 deny tcp any any eq 135   access-list 110 deny tcp any any eq 4444   access-list 110 deny udp any any eq 69   access-list 110 permit ip any any   interface s0   ip access-group 110 in   检测和删除   如果你的计算机感染了蠕虫,可以用下面办法手工删除:   1. 检查、并删除文件: %Windir%system32msblast.exe   2. 打开任务管理器,停止以下进程 msblast.exe .   3. 进入注册表(“开始->运行:regedit), 找到键值: HKEY_LOCAL_MACHINE皇牌天下,SoftwareMicrosoftWindowsCurrentVersionRun   在右边的栏目, 删除下面键值: "windows auto update"="msblast.exe"   4. 给系统打补丁(否则很快被再次感染),补丁下载地址参见下文。   5.如果您安装了网络入侵检测系统,请尽快升级检测规则,Symantec公司给出的检测规则如下: alert tcp $EXTERNAL_NET any -> $HOME_NET 135 (msg:"DCE RPC Interface Buffer Overflow Exploit"; content:"|00 5C 00 5C|"; content:!"|5C|"; within:32; flow:to_server,established; reference:bugtraq,8205; rev: 1; )   补丁下载   微软:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ MS03-026.asp   网络中心提供的冲击波病毒专杀工具: http://www1.hzu.edu.cn/upload/upload.rar   蠕虫感染途径   1. 蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建。   2. 在注册表   HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中添加以下键值:windows auto update"="msblast.exe" 以保证每次用户登录的时候蠕虫都会自动运行。   3. 蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其它受侵害的系统上传送蠕虫的二进制程序msblast.exe。   4. 蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。   5. 向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机(UDP/69端口),将msblast.exe传到目标系统上,然后运行它。   蠕虫检测到当前系统月份是8月之后或者日期是15日之后,也就是说,在1月至8月的16日至此月最后一天,以及九月至十二月的任意一天,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。   蠕虫代码中还包含以下文本数据:   I just want to say LOVE YOU SAN!!   billy gates why do you make this possible ? Stop making money and fix your software!! (比尔·盖茨,你为什么要使这种攻击成为可能?不要再只顾挣钱了,好好修补你发行的软件吧。)

本文由皇牌天下发布于科技中心,转载请注明出处:网络中心:关于“冲击波”(WORM

关键词: 皇牌天下